Documentation

1 Структура руководства
2 Что такое Zabbix
3 Возможности Zabbix
4 Обзор Zabbix
5 Что нового в Zabbix 6.0.0
6 Что нового в Zabbix 6.0.1
7 Что нового в Zabbix 6.0.2
8 Что нового в Zabbix 6.0.3
9 Что нового в Zabbix 6.0.4
10 Что нового в Zabbix 6.0.5
11 Что нового в Zabbix 6.0.6
12 Что нового в Zabbix 6.0.7
13 Что нового в Zabbix 6.0.8
14 Что нового в Zabbix 6.0.9
15 Что нового в Zabbix 6.0.10
16 Что нового в Zabbix 6.0.11
17 Что нового в Zabbix 6.0.12
18 Что нового в Zabbix 6.0.13
19 Что нового в Zabbix 6.0.14
20 Что нового в Zabbix 6.0.15
21 Что нового в Zabbix 6.0.16
22 Что нового в Zabbix 6.0.17
23 Что нового в Zabbix 6.0.18
24 Что нового в Zabbix 6.0.19
25 Что нового в Zabbix 6.0.20
26 Что нового в Zabbix 6.0.21
27 Что нового в Zabbix 6.0.22
28 Что нового в Zabbix 6.0.23
29 Что нового в Zabbix 6.0.24
30 Что нового в Zabbix 6.0.25
31 Что нового в Zabbix 6.0.26
32 Что нового в Zabbix 6.0.27
33 Что нового в Zabbix 6.0.28
34 Что нового в Zabbix 6.0.29
35 Что нового в Zabbix 6.0.30
36 Что нового в Zabbix 6.0.31
37 Что нового в Zabbix 6.0.32
38 Что нового в Zabbix 6.0.33
39 Что нового в Zabbix 6.0.34
40 Что нового в Zabbix 6.0.35
41 Что нового в Zabbix 6.0.36
2. Определения
1. Кластер высокой доступности
2. Агент
3. Агент 2
4. Прокси
1. Установка из исходных кодов
2. Установка из пакетов RHEL
3. Установка из пакетов Debian/Ubuntu
6. Sender
7. Get
8. JS
9. Веб-сервис
1. Получение Zabbix
1. Зависимости плагина PostgreSQL
2. Зависимости плагина MongoDB
2. Наилучшие практики для безопасной установки Zabbix
1. Сборка Zabbix агента на Windows
2. Сборка Zabbix агента 2 на Windows
3. Сборка Zabbix агента на macOS
1. Red Hat Enterprise Linux
2. Debian/Ubuntu/Raspbian
3. SUSE Linux Enterprise Server
4. Установка Windows агента из MSI
5. Установка агента на Mac OS из PKG
6. Нестабильные релизы
5. Установка из контейнеров
1. Установка веб-интерфейса на Debian/Ubuntu
1. Обновление из исходных кодов
1. Red Hat Enterprise Linux
2. Debian/Ubuntu
1. Проблемы при компиляции
9. Изменения в шаблонах
10. Заметки по обновлению для 6.0.0
11. Заметки по обновлению для 6.0.1
12. Заметки по обновлению для 6.0.2
13. Заметки по обновлению для 6.0.3
14. Заметки по обновлению для 6.0.4
15. Заметки по обновлению для 6.0.5
16. Заметки по обновлению для 6.0.6
17. Заметки по обновлению для 6.0.7
18. Заметки по обновлению для 6.0.8
19. Заметки по обновлению для 6.0.9
20. Заметки по обновлению для 6.0.10
21. Заметки по обновлению для 6.0.11
22. Заметки по обновлению для 6.0.12
23. Заметки по обновлению для 6.0.13
24. Заметки по обновлению для 6.0.14
25. Заметки по обновлению для 6.0.15
26. Заметки по обновлению для 6.0.16
27. Заметки по обновлению для 6.0.17
28. Заметки по обновлению для 6.0.18
29. Заметки по обновлению для 6.0.19
30. Заметки по обновлению для 6.0.20
31. Заметки по обновлению для 6.0.21
32. Заметки по обновлению для 6.0.22
33. Заметки по обновлению для 6.0.23
34. Заметки по обновлению для 6.0.24
35. Заметки по обновлению для 6.0.25
36. Заметки по обновлению для 6.0.26
37. Заметки по обновлению для 6.0.27
38. Заметки по обновлению для 6.0.28
39. Заметки по обновлению для 6.0.29
40. Заметки по обновлению для 6.0.30
41. Заметки по обновлению для 6.0.31
42. Заметки по обновлению для 6.0.32
43. Заметки по обновлению для 6.0.33
44. Заметки по обновлению для 6.0.34
45. Заметки по обновлению для 6.0.35
46. Заметки по обновлению для 6.0.36
1. Вход и настройка пользователя
2. Новый узел сети
3. Новый элемент данных
4. Новый триггер
5. Получение оповещения о проблеме
6. Новый шаблон
6. Готовое решение Zabbix
1. Настройка узла сети
2. Инвентаризация
3. Массовое обновление
1. Формат ключа элемента данных
2. Пользовательские интервалы
1. Примеры использования
2. Дополнительные сведения о предобработке
1. Экранирование спецсимволов из значений LLD макросов в JSONPath
1. Дополнительные объекты Javascript
5. Предобработка CSV в JSON
1. Специфичные ключи элементов данных для агента 2
2 Специфичные ключи элементов данных для Windows
1 Динамические индексы
2 Специальные OID'ы
3 MIB файлы
3 SNMP трапы
4 Проверки IPMI
1 Ключи элементов данных для мониторинга VMware
6 Мониторинг файлов журналов
1 Агрегированные вычисления
8 Внутренние проверки
9 Проверки через SSH
10 Проверки через Telnet
11 Внешние проверки
12 Траппер элементы данных
13 JMX мониторинг
1 Рекомендуемые настройки UnixODBC для MySQL
2 Рекомендуемые настройки UnixODBC для PostgreSQL
3 Рекомендуемые настройки UnixODBC для Oracle
4 Рекомендуемые настройки UnixODBC для MSSQL
15 Зависимые элементы данных
16 HTTP агент
17 Проверки Prometheus
18 Скриптовые элементы данных
4 История и динамика изменений
1 Расширение Zabbix агентов
6 Подгружаемые модули
7 Счетчики производительности Windows
8 Массовое обновление
9 Преобразование значений
10 Очередь
11 Кэш значений
12 Выполнить сейчас
13 Ограничение проверок агента
1 Создание подгружаемых плагинов
1 Настройка триггера
2 Выражение триггера
3 Зависимости триггеров
4 Важность триггеров
5 Пользовательские важности триггеров
6 Массовое обновление
7 Прогнозирующие функции триггеров
1 Генерация событий на триггеры
2 Другие источники событий
3 Закрытие проблем вручную
1 Корреляция событий на основе триггеров
2 Глобальная корреляция событий
6 Тегирование
1 Простые графики
2 Пользовательские графики
3 Ситуационные графики
4 Агрегирование на графиках
1 Настройка карты сети
2 Элементы групп узлов сети
3 Индикаторы связей
3 Панели
4 Панели узлов сети
1 Настройка шаблона
2 Присоединение/отсоединение
3 Наследование
4 Массовое обновление
1 Работа с Zabbix агент шаблонами
2 Работа с Zabbix агент 2 шаблонами
3. Работа с HTTP шаблонами
4 Работа с IPMI шаблонами
5 Работа с JMX шаблонами
6 Работа с ODBC шаблонами
7 Унифицированные шаблоны для сетевых устройств
1 E-mail
2 SMS
3 Пользовательские скрипты оповещений
1 Примеры скриптов вебхуков
1 Условия
1 Отправка сообщений
2 Удалённые команды
3 Дополнительные операции
4 Использование макросов в сообщениях
3 Операции восстановления
4 Операции обновления
5 Эскалации
3 Получение оповещений о неподдерживаемых элементах данных
1 Функции макросов
2 Пользовательские макросы
3 Пользовательские макросы с контекстом
4 Макросы низкоуровневого обнаружения
5 Макросы выражений
1 Настройка пользователя
2 Права доступа
3 Группы пользователей
13 Хранение секретов
14 Регулярные отчёты
1 Дерево услуг
2 Действия на услуги
3 SLA
4 Пример настройки
1 Элементы данных веб-мониторинга
2 Сценарий из реальной жизни
1 Поля ключей обнаружения виртуальных машин
11. Обслуживание
12. Регулярные выражения
13. Подтверждение проблем
1 Группы узлов сети
2 Шаблоны
3 Узлы сети
4 Карты сети
5 Способы оповещений
1 Настройка правила сетевого обнаружения
2 Авторегистрация активных агентов
1 Прототипы элементов данных
2 Прототипы триггеров
3 Прототипы графиков
4 Заметки по низкоуровневому обнаружению
1 Обнаружение примонтированных файловых систем
2 Обнаружение сетевых интерфейсов
3 Обнаружение CPU и ядер CPU
4 Обнаружение SNMP OID-ов
5 Обнаружение JMX объектов
6 Обнаружение датчиков IPMI
7 Обнаружение служб systemd
8 Обнаружение служб Windows
9 Обнаружение экземпляров счётчиков производительности Windows
10 Обнаружение с использованием запросов WMI
11 Обнаружение с использованием запросов ODBC SQL
12 Обнаружение с использованием данных Prometheus
13 Обнаружение блочных устройств
14 Обнаружение интерфейсов узлов сети в Zabbix
6 Пользовательские правила LLD
1 Прокси
1. Использование сертификатов
2. Использование общих ключей (pre-shared keys)
1 Проблемы с типом подключения или правами
2 Проблемы с сертификатами
3 Проблемы с PSK
1. Меню
1. Журнал действий
2. Часы
3. Обзор данных
4. Состояние обнаружения
5. Избранные графики
6. Избранные карты
7. Геокарта
8. График
9. График (классический)
10. Прототип графиков
11. Доступность узла сети
12. Значение элемента данных
13. Карта сети
14. Дерево навигации карт сетей
15. Простой текст
16. Узлы сети с проблемами
17. Проблемы
18. Проблемы по важности
19. SLA отчёт
20. Информация о системе
21. Топ узлов сети
22. Обзор триггеров
23. URL
24. Веб-мониторинг
2. Проблемы
1. Графики
2. Веб-сценарии
4. Последние данные
5. Карты сетей
6. Обнаружение
1. Услуги
2. Действия на услуги
3. SLA
4. SLA отчёт
1. Обзор
2. Узлы сети
1. Информация о системе
2. Регулярные отчёты
3. Отчёт о доступности
4. 100 наиболее загруженных триггеров
5. Аудит
6. Журнал действий
7. Оповещения
1. Группы узлов сети
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
4. Обслуживание
5. Действия
6. Корреляция событий
7. Обнаружение
1. Общие
2. Прокси
3. Аутентификация
4. Группы пользователей
5. Роли пользователей
6. Пользователи
7. Способы оповещений
8. Скрипты
9. Очередь
1. Глобальные оповещения
2. Звук в браузерах
4. Глобальный поиск
5. Режим обслуживания веб-интерфейса
6. Параметры страницы
7. Определения
8. Создание своей собственной темы
9. Режим отладки
10. Файлы сookie, используемые Zabbix
11. Часовые пояса
12. Сброс пароля
> Объект alert
alert.get
apiinfo.version
> Housekeeping object
housekeeping.get
housekeeping.update
> Объект регулярного выражения
regexp.create
regexp.delete
regexp.get
regexp.update
> Объект отчёта
report.create
report.delete
report.get
report.update
> Settings object
settings.get
settings.update
> SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Объект панели шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Объект токена
token.create
token.delete
token.generate
token.get
token.update
> Объект пользователя
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Authentication object
autoregistration.get
autoregistration.update
> Authentication object
authentication.get
authentication.update
> Объект веб-сценария
httptest.create
httptest.delete
httptest.get
httptest.update
> Объект графика
graph.create
graph.delete
graph.get
graph.update
> Объект группы пользователей
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Объект группы узлов сети
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Объект действия
action.create
action.delete
action.get
action.update
> Объект динамики изменений
trend.get
> Audit log object
auditlog.get
> Task object
task.create
task.get
> Объект изображения
image.create
image.delete
image.get
image.update
> Объект
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Объект истории
history.clear
history.get
> Объект карты
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Объект корреляции
correlation.create
correlation.delete
correlation.get
correlation.update
> Объект обнаруженного сервиса
dservice.get
> Объект обнаруженный узел сети
dhost.get
> Объект обслуживания
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Объект панели
1 Action log
2 Часы
3 Обзор данных
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Геокарта
8 График
9 График (классический)
10 Прототип графиков
11 Host availability
12 Значение элемента данных
13 Карта сети
14 Дерево навигации карт сетей
15 Простой текст
16 Узлы сети с проблемами
17 Проблемы
18 Проблемы по важности
19 SLA отчёт
20 System information
21 Топ узлов сети
22 Обзор триггеров
23 URL
24 Веб-мониторинг
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Объект пользовательского макроса
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Объект правила LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Объект правила обнаружения
drule.create
drule.delete
drule.get
drule.update
> Объект преобразования значений
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Объект проблемы
problem.get
> Объект проверки обнаружения
dcheck.get
> Объект прокси
proxy.create
proxy.delete
proxy.get
proxy.update
> Объект прототипа графика
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Объект прототипа триггеров
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Объект прототипа узла сети
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Объект прототипа элемента данных
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Объект роли
role.create
role.delete
role.get
role.update
> Объект скрипта
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Объект события
event.acknowledge
event.get
> Объект соответствия иконок
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Объект способа оповещения
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Объект триггера
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Объект узла высокой доступности
hanode.get
> Объект узла сети
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Объект услуги
service.create
service.delete
service.get
service.update
> Объект шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Объект элемента графика
graphitem.get
> Объект элемента данных
item.create
item.delete
item.get
item.update
Изменения в API Zabbix 6.0
Приложение 1. Справочные комментарии
Приложение 2. Изменения с 5.4 на 6.0
20. Модули
1 Создание базы данных
2 Восстановление набора символов и сопоставления базы данных Zabbix
3 Обновление базы данных для использования первичных ключей
1 Настройка шифрования для MySQL
2 Настройка шифрования для PostgreSQL
5 Настройка TimescaleDB
6 Настройка Elasticsearch
7 Экспорт событий, значений и динамики изменений в режиме реального времени
8 Примечания по настройке Nginx для Zabbix на различных дистрибутивах
9 Запуск агента от имени root
10 Zabbix агент на Microsoft Windows
11 Настройка SAML с Okta
12 Настройка базы данных Oracle
13 Настройка отчётов по расписанию
14 Дополнительные языки веб-интерфейса
1 Zabbix сервер
2 Zabbix прокси
3 Zabbix агент (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix агент (Windows)
6 Zabbix агент 2 (Windows)
1. Плагин Ceph
2. Плагин Docker
3. Плагин Ember+
4. Плагин Memcached
5. Плагин Modbus
6. Плагин MongoDB
7. Плагин MQTT
8. Плагин MSSQL
9. Плагин MySQL
10. Плагин Oracle
11. Плагин PostgreSQL
12. Плагин Redis
13. Плагин Smart
8 Zabbix Java gateway
9 Zabbix веб-сервис
10 Включение
1. Протокол обмена данными сервер-прокси
2. Протокол Zabbix агента
3. Протокол Zabbix агента 2
4. Протокол плагина Zabbix Агента 2
5. Протокол Zabbix sender
6. Заголовок
7. Протокол экспорта в режиме реального времени
1. Поддерживаемые элементы данных по платформам
2. Параметры vm.memory.size
3. Пассивные и активные проверки агента
4. Траппер элементы данных
5. Минимальный уровень прав для элементов данных агента Windows
6. Кодировка получаемых значений
7. Поддержка больших файлов
8. Датчики
9. Заметки о параметре «тип памяти» в элементах данных proc.mem
10. Заметки по выбору процессов в элементах данных proc.mem и proc.num
11. Подробности реализации проверок net.tcp.service и net.udp.service
12. Настройки недостижимости/недоступности интерфейса узла сети
13. Удалённый мониторинг статистики Zabbix
14. Настройка Kerberos с Zabbix
15. Параметры modbus.get
16. Создание пользовательских имен счётчиков производительности для VMware
1. Функции foreach
2. Побитовые функции
3. Функции даты и времени
4. Функции истории
5. Функции динамики изменений
6. Математические функции
7. Операторные функции
8. Функции прогнозирования
9. Строковые функции
1. Поддерживаемые макросы
2. Пользовательские макросы, поддерживаемые по местоположению
7. Символы единиц измерения
8. Настройка периодов времени
9. Выполнение команд
10. Совместимость версий
11. Обработка ошибок базы данных
12. Динамическая библиотека Zabbix sender для Windows
13. Библиотека Python для Zabbix API
14. Обновление мониторинга услуг
15. Другие проблемы
16. Отличия между Zabbix агентом и Zabbix агентом 2
17. Примеры экранирования
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1. Использование сертификатов

Обзор

Zabbix может использовать RSA сертификаты в формате PEM, подписанные публичным или внутренним центром сертификации (certificate authority, CA).

Проверка сертификата выполняется с использованием заранее подготовленного сертификата CA. Опционально можно использовать списки отозванных сертификатов (Certificate Revocation Lists, CRL).

Каждый компонент Zabbix может иметь только один настроенный сертификат.

Для получения более подробной информации о том, как настроить и управлять внутренним CA, как генерировать и подписывать запросы на сертификаты, как отзывать сертификаты, — обратитесь к руководствам, таким как OpenSSL PKI Tutorial v2.0 [en] .

Тщательно продумывайте и тестируйте ваши расширения сертификатов. Для получения более подробной информации смотри Ограничения при использовании расширений сертификатов X.509 v3.

Параметры настройки сертификатов

Параметр Обязателен Описание
TLSCAFile да Абсолютный путь к файлу, который содержит сертификаты CA верхнего уровня для верификации сертификата узла.
При наличии цепочки сертификатов с несколькими членами, они должны быть упорядочены: сначала сертификаты CA нижних уровней, за ними следуют сертификаты CA более высокого уровня.
Сертификаты из нескольких CA можно включать в один файл.
TLSCRLFile нет Абсолютный путь к файлу, который содержит Списки отозванных сертификатов (CRL).
TLSCertFile да Абсолютный путь к файлу, который содержит сертификат.
В случае цепочки сертификатов с несколькими членами они должны быть упорядочены: сначала сертификат сервера, прокси или агента, затем сертификаты CA нижних уровней и в завершение — сертификаты CA более высокого уровня.
TLSKeyFile да Абсолютный путь к файлу, который содержит закрытый ключ (private key). Убедитесь, что этот файл доступен для чтения только пользователю Zabbix, выставив соответствующие права доступа.
TLSServerCertIssuer нет Разрешённый эмитент сертификата сервера.
TLSServerCertSubject нет Разрешённый субъект сертификата сервера.

Примеры конфигурации

После настройки необходимых сертификатов настройте компоненты Zabbix для использования шифрования на основе сертификатов.

Ниже приведены подробные шаги по настройке:

Zabbix сервер

1. Подготовьте файл сертификата CA.

Для проверки сертификатов хостов Zabbix сервер должен иметь доступ к файлу, содержащему самоподписанные сертификаты корневого CA верхнего уровня. Например, если нужны сертификаты от двух независимых корневых CA, поместите их в файл /home/zabbix/zabbix_ca_file.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Поместите сертификат или цепочку сертификатов Zabbix сервера в файл, например, /home/zabbix/zabbix_server.crt. Первый сертификат — это сертификат Zabbix сервера, за ним — сертификат промежуточного CA:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Как для клиентских, так и для серверных сертификатов используйте только вышеупомянутые атрибуты, чтобы избежать влияния на процесс проверки сертификата. Например, OpenSSL может не установить зашифрованное соединение, если используются расширения Альтернативное имя субъекта X509v3 (X509v3 Subject Alternative Name) или Тип сертификата Netscape (Netscape Cert Type). Для получения дополнительной информации см.: Ограничения при использовании расширений сертификатов X.509 v3.

3. Поместите закрытый ключ Zabbix сервера в файл, например, /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Отредактируйте параметры конфигураци TLS в файле конфигурации Zabbix сервера:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Zabbix прокси

1. Подготовьте файлы с сертификатами CA верхнего уровня, сертификатом (или цепочкой сертификатов) Zabbix прокси и закрытым ключом, как описано в разделе Zabbix сервер. Затем соответственно отредактируйте параметры TLSCAFile, TLSCertFile и TLSKeyFile в файле конфигурации Zabbix прокси.

2. Отредактируйте дополнительные параметры TLS в файле конфигурации Zabbix proxy:

  • Для активного прокси: TLSConnect=cert
  • Для пассивного прокси: TLSAccept=cert

Чтобы повысить безопасность прокси, вы также можете задать параметры TLSServerCertIssuer и TLSServerCertSubject. Для получения дополнительной информации см. Ограничение разрешённых Эмитента и Субъекта сертификата.

В конечном итоге параметры TLS в файле конфигурации прокси могут выглядеть следующим образом:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Настройте шифрование для этого прокси в веб-интерфейсе Zabbix:

  • Перейдите к: Администрирование → Прокси
  • Выберите прокси и нажмите на вкладку Шифрование

В примере ниже поля Эмитент (Issuer) и Субъект (Subject) заполнены. За дополнительной информацей о том, для чего и как использовать эти поля, обратитесь к Ограничение разрешённых эмитента и субъекта сертификата.

Для активного прокси:

Для пассивного прокси:

Zabbix агент

1. Подготовьте файлы с сертификатами CA верхнего уровня, сертификатом (или цепочкой сертификатов) Zabbix агента и закрытым ключом, как описано в разделе Zabbix сервер. Затем отредактируйте соответственно параметры TLSCAFile, TLSCertFile и TLSKeyFile в файле конфигурации Zabbix агента.

2. Отредактируйте дополнительные параметры TLS в файле конфигурации Zabbix агента:

  • Для активного агента: TLSConnect=cert
  • Для пассивного агента: TLSAccept=cert

Чтобы улучшить безопасность агента, можно указать параметры TLSServerCertIssuer и TLSServerCertSubject. Для получения дополнительной информации см. Ограничение разрешённых Эмитента и Субъекта сертификата.

В конечном итоге параметры TLS в файле конфигурации агента могут выглядеть следующим образом. Обратите внимание, что пример предполагает, что хост наблюдается через прокси, поэтому в качестве Субъекта сертификата указан прокси:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

3. Настройте шифрование для узла сети, наблюдаемого этим агентом, в веб-интерфейсе Zabbix:

  • Перейдите к: Настройка → Узлы сети
  • Выберите узел сети и нажмите на вкладку Шифрование

В примере ниже поля Эмитент и Субъект заполнены. Дополнительную информацию о том, для чего и как использовать эти поля, смотрите Ограничение разрешённых Эмитента и Субъекта сертификата.

Веб-сервис Zabbix

1. Подготовьте файлы с сертификатами CA верхнего уровня, сертификатом или цепочкой сертификатов веб-сервиса Zabbix и закрытым ключом, как описано в разделе Zabbix сервер. Затем отредактируйте параметры TLSCAFile, TLSCertFile и TLSKeyFile в файле конфигурации веб-сервиса Zabbix соответствующим образом.

2. Отредактируйте дополнительнй параметр TLS в файле конфигурации веб-сервиса Zabbix: TLSAccept=cert

Параметры TLS в итоговом файле конфигурации веб-сервиса могут выглядеть следуюим образом:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Настройте сервер Zabbix для подключения к веб-сервису Zabbix с настроенным TLS, отредактировав параметр WebServiceURL в файле конфигурации Zabbix сервера:

WebServiceURL=https://example.com

Ограничение разрешённых Эмитента и Субъекта сертификата

Когда два компонента Zabbix (например, сервер и агент) устанавливают TLS соединение, они оба проверяют сертификаты друг друга. Если сертификат узла подписан доверенным CA (с предварительно подготовленным сертификатом верхнего уровня в TLSCAFile), является действительным, он не истёк и проходит некоторые другие проверки, то коммуникация между компонентами может продолжаться. В этом простейшем случае эмитент и субъект сертификата не проверяются.

Однако, здесь имеется риск: кто угодно при наличии действительного сертификата может выдать себя за другого (например, сертификат хоста может быть использован, чтобы выдать себя за сервер). Хотя это может быть приемлемо в небольших средах, где сертификаты подписываются выделенным внутренним CA, а риск выдачи себя за кого-либо низок, этого может быть недостаточно в более крупных или более чувствительных к безопасности средах.

Если ваш CA верхнего уровня выдаёт другие сертификаты, которые не должны приниматься Zabbix, или вы хотите снизить риск действий от чужого имени, вы можете ограничить разрешённые сертификаты, указав их эмитента и субъект.

Например, в файле конфигурации Zabbix прокси вы можете указать:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

С этими настройками активный прокси не будет общаться с Zabbix сервером, чей сертификат имеет других эмитента и субъект. Аналогично, пассивный прокси не примет запросы от такого сервера.

Правила сопоставления строк Issuer и Subject

Правила сопоставления строк Эмитент (Issuer) и Субъект (Subject) следующие:

  • Строки Issuer и Subject проверяются независимо. Обе строки опциональны.
  • Неуказанная строка означает, что принимается любая строка.
  • Строки сравниваются «как-есть», они должны в точности совпадать.
  • Поддерживаются символы UTF-8. Однако подстановочные знаки (*) или регулярные выражения не поддерживаются.
  • Реализованы следующие требования из RFC 4514[en] — символы, требующие экранирования (обратной косой чертой '\', U+005C):
    • в любом месте в строке: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • в начале строки: пробел (' ', U+0020) или символ решётки ('#', U+0023);
    • в конце строки: пробел (' ', U+0020).
  • Нулевые символы (U+0000) не поддерживаются. Если встречается нулевой символ, сопоставление будет неуспешным.
  • Стандарты RFC 4517[en] и RFC 4518[en] не поддерживаются.

Например, если строки Issuer и Subject организации (O) содержат конечные пробелы, а строка Subject подразделения (OU) содержит двойные кавычки, эти символы необходимо экранировать:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Очерёдность полей и форматирование

Zabbix следует рекомендациям RFC 4514 [en], который определяет «обратный» порядок для этих полей, начиная с полей самого низкого уровня (CN), переходя к полям среднего уровня (OU, O) и завершая полями самого высокого уровня (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

В отличие от этого, OpenSSL по умолчанию отображает строки Issuer и Subject в порядке от верхнего уровня к нижнему. В следующем примере поля Issuer и Subject начинаются с верхнего уровня (DC) и заканчиваются полем нижнего уровня (CN). Форматирование с пробелами и разделителями полей также различается в зависимости от используемых параметров и, таким образом, не будет соответствовать формату, требуемому Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Для того чтобы правильно отформатировать для Zabbix строки Issuer и Subject, вызовите OpenSSL со следующими параметрами:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

Тогда вывод будет в обратном порядке, разделён запятыми и может использоваться в файлах конфигурации и веб-интерфейсе Zabbix:

issuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Ограничения при использовании расширений сертификатов X.509 v3

При реализации сертификатов X.509 v3 в Zabbix некоторые расширения могут поддерживаться не полностью или могут привести к несовместимому поведению.

Расширение «Альтернативное имя субъекта» (Subject Alternative Name)

Zabbix не поддерживает расширение «Subject Alternative Name», которое используется для указания альтернативных имён DNS — таких как IP адрес или e-mail адрес. В Zabbix проверяется только значение поля «Субъект» сертификата (смотри Ограничение разрешённых Эмитента и Субъекта сертификата). Если сертификат содержит поле subjectAltName, то результат проверки сертификата может зависеть от конкретной комбинации наборов криптографических инструментов, используемых для компиляции компонентов Zabbix. В результате, в зависимости от этих комбинаций, Zabbix может либо принимать, либо отклонять сертификаты.

Расширение «Использование Расширенного Ключа» (Extended Key Usage)

Zabbix поддерживает расширение Extended Key Usage. Однако, если оно используется, то, как правило, требуется, чтобы были указаны как clientAuth (для аутентификации клиента TLS WWW), так и serverAuth (для аутентификации сервера TLS WWW). Например:

  • При пассивных проверках, где Zabbix агент выступает в роли TLS сервера, в сертификате агента должен присутствовать атрибут serverAuth.
  • При активных проверках, где агент выступает в качестве TLS клиента, в сертификате агента должен присутствовать атрибут clientAuth.

Хотя GnuTLS может выдавать предупреждение о нарушениях использования ключа, он обычно позволяет продолжать соединение, несмотря на эти предупреждения.

Расширение «Ограничения Имени» (Name Constraints)

Поддержка расширения Name Constraints различается в разных наборах инструментов шифрования. Убедитесь, что выбранный вами набор инструментов поддерживает это расширение. В зависимости от конкретного набора инструментов криптографии, если эта секция помечена как критическая, то это расширение может помешать Zabbix в загрузке сертификатов CA.

Списки отозванных сертификатов (CRL)

Если сертификат скомпрометирован, CA может отозвать его, включив сертификат в список отозванных сертификатов (CRL). Списки CRL можно настраивать в файлах конфигурации сервера, прокси и агента, используя параметр TLSCRLFile. Например:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

Файл zabbix_crl_file.crt в данном случае может содержать списки CRL от нескольких CA и мог бы выглядеть следующим образом:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRL файл загружается только при запуске Zabbix. Для обновления CRL перезапустите Zabbix.

Если компоненты Zabbix скомпилированы с OpenSSL и используются списки CRL, убедитесь, что каждый CA верхнего и промежуточного уровней в цепочках сертификатов имеет соответствующий список CRL (даже если он пустой), включённый в TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy